「Water Pamola」は20年初から日本に限定した攻撃に

「EC-CUBE」をめぐっては、開発元が、複数サイトで攻撃がありクレジットカード情報の流出を確認しているとして、ユーザーに緊急対応の対策案を提供。（一社）JPCERTコーディネーションセンターなども、EC-CUBE 4.0系で緊急度「高」の脆弱性が発覚したことによる注意を促している。この問題では、経済産業省が2019年12月に同様の注意喚起を行っている。

同社の追跡も同年から。日・豪・欧に及ぶ一連の攻撃キャンペーンを「Water Pamola」と名付け、調査してきた。20年初頭からは主に日本のみとなり、スパムメールの代わりにオンラインショップの管理者が管理画面で注文を確認する際に不正スクリプトが実行される状況になった。さらなる調査で、顧客の住所などの入力欄にJavaScriptのコードが挿入され、店舗の管理ポータルに存在するXSSの脆弱性の悪用により起動されることを確認した。

ECサイト管理者が注文確認→攻撃者側に注文情報が自動的に読み込み

オンラインショップにXSS攻撃の脆弱が存在する場合、被害者（標的となったオンラインショップ管理者）が管理パネル内で注文を開くと、注文情報が攻撃者へ自動的に読み込まれることになる。スクリプトが実行する不正な動作として、ページグラビング（Webページの取得）、クレデンシャルフィッシング（認証情報窃取のフィッシング攻撃）、Webシェルへの感染攻撃、マルウェアの配信などを確認している。

Water Pamolaは、オンラインショッピングの注文に不正なクロスサイトスクリプトを付加して送信することでECの管理者へ攻撃を仕掛けていた。さらに特定のECフレームワークではなく、ECシステム全般を対象としている点も特筆すべきとした。これらのクロスサイトスクリプトは、XSS攻撃フレームワークで管理され、攻撃スクリプトや窃取情報の処理に利用される。

ソースコードは中国のパブリックフォーラムで共有も

また、このフレームワークのソースコードは、多くの中国のパブリックフォーラムで共有され、一定のカスタマイズが施されていることも確認された。攻撃者はさまざまな種類のクロスサイトスクリプトを配信しており、不正なスクリプトの中には、日本で普及しているEC-CUBEフレームワークで構築されたWebサイトに、バックドアをインストールする動作も確認した。

同社によると、Water Pamolaは、オンラインショッピング注文時にクロスサイトスクリプトを付加してオンライン業者を攻撃する。さらにまた、認証情報を詐取したり、リモートアクセスツールをダウンロードさせたりするソーシャルエンジニアリングの手法も駆使する。オンラインショップの管理者は、このように、スパムメールだけでなく予期しないさまざまな感染経路から攻撃を受けるリスクがあることを認識しておく必要がある。

また、XSS攻撃などで悪用される脆弱性のリスクを防ぐためには、Webサイトで使用しているECプラットフォームのバージョンを常に最新に保つことを勧めている。特にWater Pamolaの攻撃が確認されたプラットフォームの１つである「EC-CUBE」について、ユーザーは使用のバージョンを確認の上、必要であれば速やかに修正を適用することを推奨している。